Puesta en marcha delEquipo de Respuesta a Incidentes de Seguridad

Informática para laUniversidad Técnica Particular de Loja

Rebeca Pilco Vivanco

LACNIC XIV – LACNOG 2010, SAO PAULO – BRASIL

20, de octubre de 2010

CSIRT - UTPL

2006 - Equipo de Seguridad

•Atender problemas de seguridad de la red y servidores.•Manejo de normativas y políticas de seguridad.

2008 - Iniciativa de crear un Equipo de Respuesta a Incidentes de Seguridad

Proyecto Piloto – se orienta los servicios a los administradores de servidores de la UTPL.

2009 - Convocatoria del Proyecto AMPARO, se presenta el proyecto“Creación e Implementación de un CSIRT académico para laUniversidad Técnica Particular de Loja”, (7 meses)

CSIRT - UTPL

Definición:

Un Equipo de Respuesta a Incidentes de Seguridad (CSIRT) es una organización quees responsable de recibir, revisar y responder a informes y actividad sobreincidentes de seguridad. Sus servicios son generalmente prestados para un área decobertura definida que podría ser una organización educativa, gubernamental,privada, etc.

Pasos para la Creación de un CERT

CSIRT - UTPL

CERT/CC

Apoyo de la Organización

Plan Estratégico

Obtener Información

Diseñar Visión del CSIRT

• Personal• Infraestructura• Tipo de Servicios• Políticas y Procedimientos• Formularios

Implementación

Comunicar la Visión

Evaluación

Anunciar funcionamiento del CSIRT

Misión CSIRT – UTPL

“Somos un grupo de investigación en temas de seguridad

informática, y el punto único de contacto para la atención, prevención y

respuesta a incidentes de seguridad de la UTPL.”

Funciones del CSIRT – UTPL (1/2)

•Respuesta a Incidentes de Seguridad

• Recepción de reportes de los diferentes incidentes que ocurran en losdepartamentos de la universidad.

•Uso de procedimientos, políticas y metodologías para la respuesta aincidentes.

•Grupo formal de investigación que aporte al equipo en la identificación ysolución de problemas. (Honeynets – Análisis forense)

Políticas CSIRT - UTPL Reporte de Incidentes

Procedimientos para la

Respuesta a Incidentes

CSIRT - UTPL

CSIRT - UTPL

En donde se ubica el CSIRT – UTPL en la Estructura Organizacional (1/2)

CSIRT - UTPL

En donde se ubica el CSIRT – UTPL en la Estructura Organizacional (2/2)

CSIRT - UTPL

Estructura Interna – Equipo CSIRT - UTPL

CSIRT-UTPL

LIDER DE GRUPO

Servicios Laboratorio

-Honeynet- Análisis Forense- Investigación sobre Redes

Sociales e ingeniería social

CSIRT - UTPL

Constituency

ComunidadCSIRT - UTPL

Avanzada General

U.T.P.L. Otras personas e Instituciones

CSIRT - UTPL

Servicios a Brindar

Servicios Reactivos Servicios Proactivos Servicios de Gestión y Calidad de la Seguridad

• Alertas y Advertencias• Manejo de incidentes •Reportes Estadísticos.

• Servicios de Detección de Intrusiones• Implementación y Configuración de las Herramientas, Aplicaciones, Infraestructuras y Servicios de Seguridad.• Estudio de Tráfico Malicioso• Definición de nuevas políticas de seguridad.

• Concientización• Educación y Capacitación a

los usuarios en el uso de políticas y reportes

CSIRT - UTPL

Políticas del CSIRT-UTPL

- Norma ISO 27002:2005

Políticas

Clasificación de la Información

Diseminación de la Información

Política de Seguridad

Manejo de Incidentes de Seguridad Local

Manual de Seguridad

de la UTPL

• Reporte de incidentes

• Reporte de Vulnerabilidades

• Clasificación de la InformaciónPROCEDIMIENTOS

Metodologías

CSIRT - UTPL

Metodología para el manejo de Incidentes de

la UTPL

CERT /CCSANS

1. Prevención

2. Identificación

3. triage

4. Contención

y Respuesta

Contacto :

Correo electrónico: csirtutpl@utpl.edu.ec

María Paula Espinoza: mpespinoza@utpl.edu.ec

Julia Pineda: japineda@utpl.edu.ec

Rebeca Pilco: repilco@utpl.edu.ec